大学校园网与信息系统技术安全管理办法.docx

《大学校园网与信息系统技术安全管理办法.docx》由会员分享，可在线阅读，更多相关《大学校园网与信息系统技术安全管理办法.docx（12页珍藏版）》请在第一文库网上搜索。

1、大学校园网与信息系统技术安全管理办法第一章总则第一条为进一步加强学校校园网与信息系统技术安全管理，推进学校网络安全保护工作，提高防护能力，根据中华人民共和国网络安全法教育部关于加强教育行业网络与信息安全工作的指导意见教育部办公厅关于组织开展部属单位信息安全等级保护工作的通知等要求，结合我校实际，特制定本办法。第二条学校按照“谁主管谁负责、谁使用谁负责、谁运维谁负责”的原则，建立健全安全责任体系。各单位、全体师生员工应依照本办法及学校相关规定，履行相应的义务和责任。第三条本办法所指校园网与信息系统技术安全管理，是指为保护学校各类网络系统、信息系统以及信息资产的安全性、完整性，而采取的相应技术措施

2、和管理办法。本办法所指二级单位包括机关部、处、室，学院、直附属单位、有关科研机构以及企业单位等。第二章领导机构与工作职责第四条学校网络安全和信息化领导小组（以下简称领导小组）是学校校园网与信息系统技术安全的领导决策机构,按“同步规划、同步建设、同步运行”的原则统筹协调校园网与信息系统技术安全各项工作。第五条学校二级单位是本单位网络与信息系统技术安全的责任主体，单位主要负责人是本单位网络与信息系统技术安全的第一责任人。二级单位应成立本单位网络安全和信息化领导小组，组织实施本单位所使用、运维的网络和信息系统技术安全的防护措施和管理办法。第六条信息中心是学校网络与信息系统技术安全归口管理部门和技术支

3、撑单位，负责开展学校网络与信息系统技术安全的规划、建设、管理和运维。具体职责为：（-）制定、实施信息技术安全总体方案；（二）拟定校园网与信息系统技术安全管理制度，制定安全标准和规范；（三）组织开展技术安全防护体系的规划建设、运行维护、技术指导和服务支持；（四）组织开展网络安全等级保护工作；（五）组织开展信息技术安全教育和培训工作；（六）负责信息技术安全监督检查工作；（七）其他相关工作。第三章校园网络基础安全管理第七条校园网是指在校园范围内连接各种信息系统及信息终端的计算机网络，包括有线网、无线网和各种专网。第八条学校按“统一管理、统一出口、统一认证”的原则实行校园网与互联网及其他公共信息网络的

4、连接。校园网与互联网及其他公共信息网络实行逻辑隔离，采取访问控制、完整性检查、入侵防范、恶意代码防范、安全审计等措施进行校园网边界防护。未经批准，二级单位不得将信息系统和本单位局域网通过其他渠道接入互联网及其他公共信息网络。第九条二级单位负责本单位所在区域内网络设备的日常安防和消防管理工作。第十条涉密网络和信息系统接入网络时，严格按照涉密系统管理办法执行。第四章数据中心管理第十一条数据中心是指支撑学校信息化建设的物理环境（包含机房）、云计算平台、中心数据库、数据共享交换平台、统一身份认证平台及统一信息门户等软硬件设施设备，是学校信息化建设的基础设施和平台。信息中心负责数据中心的安全建设、运行、

5、维护和管理。第十二条学校按网络安全等级保护要求，对数据中心进行分区分域管理，对不同等级分区采取相应的技术安全防护措施，对不同安全域之间实施访问控制。第十三条学校制定数据中心使用的技术规范和标准，对数据中心的使用实施准入制。新建信息系统应符合学校信息技术标准，在通过第三方安全评测机构检测后方可在数据中心部署上线。第十四条二级单位在建设面向师生服务的应用系统时，应使用学校统一身份认证平台进行身份认证。二级单位负责本单位业务系统的用户角色管理、权限分配和资源管理,负责本单位业务数据库的建设和管理，负责本单位业务数据库及所申请的共享数据的安全管理。第十五条数据中心使用单位应遵守数据中心的管理制度和技术

6、标准，按需申请、有效使用。不得利用数据中心从事与申请项目无关，或危害数据中心安全的活动。第十六条二级单位应依托学校数据中心开展应用系统建设，不得将涉及学校基础数据、师生员工个人信息或敏感信息的信息系统部署在校外数据中心。确需使用校外数据中心的，须经领导小组审批。严禁使用境外数据中心。第五章信息系统的建设、运行和维护管理第十七条学校按照“同步规划、同步建设、同步运行”的原则开展系统建设与安全建设，建立健全信息技术安全防护体系。第十八条学校实施网络安全等级保护制度，建立信息系统台账，组织开展信息系统安全等级定级、系统备案、安全建设、等级测评、安全整改和监督检查等工作。二级以上（含第二级）信息系统，

7、需按要求进行备案。第十九条信息系统建设、使用单位是该系统安全等级保护的责任主体，按照“自主定级、自主保护”的原则开展等级保护工作，并接受安全监管部门的监督检查。第二十条二级单位或相关工作领导小组办公室挂靠（或所在）单位应根据业务需要，在上年的下半年提交来年网络与信息系统建设申请、安全责任书和成熟的建设方案。信息中心组织专家论证，拟定来年建设清单和建议，报送领导小组审批。学校鼓励建设单位优先采购安全可靠、技术成熟和服务良好的成品软件用于信息系统建设。没有相应成品软件或成品软件不适应实际需求的，按照采购与招标规定，委托资质和信誉良好的软件开发商进行定制开发。第二十一条信息系统建设完成在出具第三方安

8、全测试报告后，方可组织验收。在上线测试或试运行前建设单位（或使用单位）、开发商应签订信息系统试运行或上线测试安全责任书，审核同意后方可进行上线测试或试运行。第二十二条信息系统建设、使用单位应制定信息系统使用与维护的管理制度，规范系统使用者和运维人员的操作行为。建设、使用单位应定期对终端计算机和关键设备（服务器、操作系统、数据库、安全设备、网络设备等）进行安全审计，通过查看记录、检查系统和用户活动信息及时发现系统漏洞，处置异常访问和操作。第二十三条信息系统建设、使用单位应定期组织二级以上（含第二级）信息系统的等级测评，查找安全漏洞和安全隐患，并及时整改。二级系统每两年应至少进行一次测评，三级系统

9、每年应至少进行一次测评，四级系统每年应至少进行两次测评。第二十四条信息系统的开发环境、测试环境和运行环境应严格隔离，学校负责面对全校服务的信息系统所需上述环境的建设、运行、维护和管理。第六章信息系统数据安全管理第二十五条信息系统数据是指信息系统收集、存储、传输、处理和产生的各种电子数据，包括但不限于网站内容、业务数据、网络课程、图书资源、日志记录等。第二十六条信息系统建设、使用单位是其数据安全的责任主体，应落实管理和技术措施，规范数据的收集、存储、传输和使用，确保数据安全。第二十七条信息系统数据收集应遵循“最少够用”原则，不得收集与该系统业务无关的个人信息。按照“谁收集，谁负责”的原则，收集个

10、人信息的单位是个人信息保护的责任主体，应建立实施个人信息保护制度，防止信息泄露。第二十八条信息中心负责学校核心信息系统的运维管理、备份与恢复，制订备份与恢复计划，定期测试备份与恢复计划，确保备份数据和备用资源的有效性。第七章互联网网站安全管理第二十九条二级单位开办互联网网站时，应使用学校域名和IP地址，遵守学校相关规章制度。第三十条学校统一建设网站集群管理平台（CMS）,负责该平台的技术安全。第三十一条新建网站上线前，应聘请第三方安全测评机构进行安全测试。未来通过安全测评的，不予上线。未进入学校CMS的网站，其技术安全由开办单位负责。第三十二条网站建设、使用单位应建立网站值守制度,制订应急处置

11、流程，组织专人对网站进行监测，发现网站异常情况及时处置。第三十三条互联网网站的内容安全由网站开办单位负责。互联网网站开办单位应建立完善的网站信息发布与审核制度，确定内容编辑、内容审核、内容发布的责任人，明确审核与发布程序，保存相关操作日志。第三十四条二级单位网站不得提供电子公告、论坛、聊天室、留言板等服务。确有需要的，须经领导小组批准,信息中心备案。提供该服务的网站开办单位承担内容管理的主体责任，须按有关规定落实内容安全的管理和技术措施。第三十五条对于使用频度不高、阶段性应用的网站,开办单位可采取非工作时间或寒暑假、节假日关闭的方式运行。对于无人管理、维护不力、长期不更新的网站，开办单位应及时

12、关闭以降低安全风险。第八章电子邮件安全管理第三十六条学校为师生员工提供电子邮件服务。用户在使用学校电子邮件时，应遵守相应管理规定。第三十七条学校负责电子邮件系统的安全管理，具体由信息中心负责实施。信息中心应积极采取必要的技术和管理措施，加强邮件系统的安全防护，减少垃圾邮件、病毒邮件的侵袭。第三十八条师生员工对其电子邮箱的所有活动和内容负责。电子邮件用户应妥善保管本人邮箱账号和密码，设置邮箱强密码并定期更换。若发现他人冒用、盗用本人电子邮箱，及时通报信息中心。第九章终端计算机安全管理第三十九条终端计算机是指由学校师生员工用于教学、科研、管理等活动的各类计算机及附属设备，包括台式电脑、笔记本电脑及

13、其他移动终端。第四十条按“谁使用，谁负责”的原则，终端计算机使用人对其终端计算机负有保管和安全使用的责任。学校对终端计算机的安全管理提供技术支持和指导。第四十一条学校提供软件正版化服务，提供常用工具软件、防病毒软件的正版下载。第四十二条终端计算机设备上安装、运行的软件应为正版软件。使用盗版软件带来的安全和法律责任由终端计算机使用人负责。第四十三条终端计算机应当设置系统登录账号和密码，禁止自动登录，登录密码应具有一定强度并定期更改。第四十四条终端计算机使用人应做好数据日常管理和保护，定期进行数据备份和系统升级。非涉密终端计算机不得存储和处理涉密信息。第四十五条终端计算机使用者应做好终端计算机的安

14、全防范，如发现终端计算机出现可能由病毒或攻击导致的异常行为或其他问题，应先断网后处理。第四十六条终端计算机使用人应对终端计算机妥善保管。若发生损坏丢失，按学校仪器设备相关管理规定处理。第十章存储介质安全管理第四十七条存储介质是指存储数据的载体，包括但不限于硬盘、存储阵列、磁带库等不可移动介质，以及移动硬盘、U盘等可移动介质。第四十八条存储阵列、磁带库等大容量介质原则上应托管在学校数据中心，由学校统一运行、维护和管理。数据中心应采取必要技术措施防止数据泄漏，确保数据安全。第四十九条二级单位应建立移动介质管理制度，记录非个人移动介质的领用、交回、维修、报废、损毁等情况。介质使用人按照“谁使用，谁负

15、责”的原则，对其移动介质负有保管和安全使用的责任。第五十条介质使用人应注意移动存储介质的内容管理，对送出维修或销毁的介质应事先清除敏感信息。第五十一条移动存储介质在接入终端计算机和信息系统前，应当查杀病毒、木马等恶意代码。第五十二条非涉密移动存储介质不得存储涉密信息,不得在涉密计算机上使用。第十一章人员安全管理第五十三条二级单位应建立健全本单位信息技术安全责任制，明确信息安全岗位及人员的职责。关键岗位的计算机使用和管理人员应签订信息安全与保密协议，明确信息安全与保密责任。第五十四条二级单位应加强人员离岗、离职管理，严格规范离岗、离职过程，及时终止相关人员的所有访问权限,收回各种身份证件、钥匙、

16、徽章以及学校提供的软硬件设备,并签署离岗、离职安全保密承诺书。第五十五条二级单位应定期对信息技术安全岗位的人员进行安全知识和技能的考核，并对考核结果进行记录和保存。第五十六条二级单位应建立外部人员访问机房等重要区域的审批制度，外部人员须经审批后方可进入，并安排工作人员现场陪同，对访问活动进行记录和保存。第十二章外包服务安全管理第五十七条信息技术外包服务是指对信息系统开发和运维的外包。第五十八条外包服务需求单位应与信息技术外包服务商签订服务合同和信息安全与保密协议，明确信息安全与保密责任，不得将外包服务转包，不得泄露、扩散、转让服务过程中获知的敏感信息，不得占有服务过程中产生的任何信息资产，不得以服务为由强制要求委托方购买、使用指定产品。